デンマークSecuniaは現地時間1月4日,スイート・ソフト「Mozilla」およびWebブラウザ「Mozilla Firefox」に,ダウンロード・ダイアログを偽装されるセキュリティ・ホールがあることを明らかにした。最新版のMozilla 1.7.5およびFirefox 1.0において,このセキュリティ・ホールが確認されている。これら以外のバージョンも影響を受けると考えられる。対策は,信頼できないリンクはクリックしないことなど。

 MozillaやFirefoxでは,ダウンロード元サイトのURLが長い場合には,ダウンロード・ダイアログにURLがきちんと表示されない。URLの後ろが省略されて表示される。これが,今回のセキュリティ・ホールである。URLの後ろが省略されるため,URLのサブ・ドメインを長くすれば,実際のドメイン名を表示させないことが可能となる。

 そして,URLを単に長くするだけではなく,サブ・ドメインを“工夫”すれば,悪質なサイトに置かれた危険なファイルを,信頼できるサイトに置かれたものに見せかけて,ユーザーにダウンロードおよび実行させることができる。

 Secuniaではデモ・ページを公開している(写真右上,拡大表示)。写真は,Windows XP上のFirefox 1.0でのデモ結果。実際のダウンロード元のページは「http://citibank-software-server.new-netbank.citibank.com(中略).secunia.com/temp/test.php」という「secunia.com」サイトのページだが,後ろが省略されているために,ダウンロード元が「http://citibank-software-server.new-netbank.citibank.com」,つまり米Citibankのサイトに見える。

 なお,Bugzillaの情報によれば,Internet Explorer(IE)には今回セキュリティ・ホールはないとしている。実際編集部で試したところ,Windows 2000のIEでは,URLの前方が省略されて表示されるので,同様の手口で偽装されることはない(写真右中,拡大表示)。

 しかしながら,Windows XP上のIEでは,Firefoxと同じようにダウンロード元(発信元)が「citibank.com」に見える(写真右下,拡大表示)。このため,IEユーザーも注意したほうがよい。

 現時点(1月6日)ではMozillaおよびFirefoxの修正版は公開されていない。このため,「信頼できないリンクはクリックしない」「信頼できないページにはアクセスしない」といった心がけで対応する。なお,Secuniaの情報には,「次バージョンで今回のセキュリティ・ホールを解消するとベンダーは報告している」と記述されている。

◎参考資料
Mozilla/Mozilla Firefox Download Dialog Source Spoofing(Secunia)
Secunia Research 04/01/2005:Mozilla/Mozilla Firefox Download Dialog Source Spoofing(Secunia)
Bugzilla Bug 275417:Download dialog source spoofing(Bugzilla)

(勝村 幸博=IT Pro)